Mjaukanje je napad koji nastavlja dobivati zamah i to već nekoliko danaobjavljene su razne vijesti u kojem razni nepoznati napadi uništavaju podatke u nezaštićenim objektima Elasticsearch i javni pristup MongoDB-a.
osim toga zabilježeni su i izolirani slučajevi čišćenja (približno 3% svih žrtava) za nezaštićene baze podataka na temelju Apache Cassandre, CouchDB, Redis, Hadoop i Apache ZooKeeper.
O Mjau
Napad se izvodi putem bota koji navodi DBMS mrežne priključke tipična. To je pokazala studija napada na lažni poslužitelj meda botova veza ostvaruje se putem ProtonVPN-a.
Uzrok problema je otvaranje javnog pristupa bazi podataka bez ispravnih postavki provjere autentičnosti.
Pogreškom ili nepažnjom obrađivač zahtjeva se ne veže na internu adresu 127.0.0.1 (localhost), već na sva mrežna sučelja, uključujući vanjsko. U MongoDB-u ovo ponašanje olakšava konfiguracija uzorka koja se nudi prema zadanim postavkama, a u programu Elasticsearch prije verzije 6.8 besplatna verzija nije podržavala kontrolu pristupa.
Povijest VPN davatelja usluga «NLO» indikativna je, koja je otkrila javno dostupnu bazu podataka Elasticsearch od 894 GB.
Davatelj se pozicionirao kao zabrinut zbog privatnosti korisnika a ne vođenje evidencije. Suprotno onome što je rečeno, u bazi podataka bilo je zapisa Skočni prozori koji su sadržavali informacije o IP adresama, vezu sesije s vremenom, korisničke oznake lokacije, informacije o korisničkom operativnom sustavu i uređaju te popise domena za umetanje oglasa u nezaštićeni HTTP promet.
Osim toga, baza podataka sadržavala je lozinke za pristup jasnom tekstu i tipke sesije, što je omogućilo dešifriranje presretnutih sesija.
VPN davatelj usluge «NLO» je o tom pitanju obaviješten 1. srpnja, ali poruka je ostala bez odgovora dva tjedna a drugi zahtjev poslan je pružatelju usluga hostinga 14. srpnja, nakon čega je baza podataka zaštićena 15. srpnja.
Tvrtka je na obavijest odgovorila premještanjem baze podataka na drugo mjesto, ali još jednom ga nije mogao pravilno osigurati. Nedugo zatim, Meowin napad je zbrisao.
Od 20. srpnja ova se baza podataka ponovno pojavila u javnoj domeni na drugom IP-u. Za nekoliko sati gotovo svi podaci uklonjeni su iz baze podataka. Analiza ovog brisanja pokazala je da je povezano s masovnim napadom zvanim Meow iz imena indeksa koji su ostali u bazi podataka nakon brisanja.
"Jednom kada su izloženi podaci osigurani, drugi su se put pojavili 20. srpnja na drugoj IP adresi: svi su zapisi uništeni još jednim napadom robota 'Meow'", tvitnuo je Diachenko početkom ovog tjedna. .
Victor Gevers, predsjednik neprofitne zaklade GDI je također bio svjedok novog napada. Tvrdi da glumac također napada izložene baze podataka MongoDB-a. Istražitelj je u četvrtak primijetio da se čini da onaj tko stoji iza napada cilja na bilo koju bazu podataka koja nije sigurna i dostupna na Internetu.
Pretragu putem usluge Shodan pokazao je da je još nekoliko stotina poslužitelja također postalo žrtvama uklanjanja. Sada se broj udaljenih baza podataka približava 4000, od čega mViše od 97% od toga su baze podataka Elasticsearch i MongoDB.
Prema LeakIX-u, projektu koji indeksira otvorene usluge, na meti je bio i Apache ZooKeeper. Još jedan manje zlonamjerni napad također je označio datoteke 616 ElasticSearch, MongoDB i Cassandra nizom "university_cybersec_experiment".
Istraživači su sugerirali da napadači u tim napadima demonstriraju održavačima baza podataka da su datoteke ranjive na pregled ili brisanje.